Heute hatten wir drüben beim Collaborativerockers Podcast einigen Ärger durch schadhaften Code, der durch Fremdzugriff auf unserem Server gelandet ist. Ich hab das Problem drüben beschrieben und crossposte das hier zur Sicherheit:
Rockers!
Was ein Tag für jemanden wie mich, der zwar ein wenig Ahnung von der Materie „Sicherheit im Internet“ hat und sich seit einigen Jahren auf einer eher abstrakten Ebene der IT-Sicherheit bewegt, aber dann doch schnell an seine Grenzen kommt, wenn es um Code-relevante Sachen geht. Ich will versuchen, auch ohne tiefergehende IT-Kenntnisse, zu beschreiben, was heute vorgefallen ist und wie wir mittlerweile reagieren konnten.
Heute fiel einem Hörer (danke André für die schnelle Reaktion!) auf, dass der bei Facebook via der RSS Graffiti App gepostete Link auf diesen Beitrag gar nicht auf den Beitrag führte, sondern auf eine merkwürdige russische Domain (.ru) mit Malware-Inhalt umgeleitet wurde. Diesen Fehler konnten diverse Leute mit verschiedenen Browsern reproduzieren (vor allem Firefox und Safari diverser Versionen waren davon betroffen). Nach diversen Stunden der Suche und des Diskutierens (Achtung, der Link geht auf mein Facebook-Profil) konnten wir (vor allem die anderen) den Fehler auf das Folgende herunterbrechen (Stand heute Abend am 15.02. // und Achtung, dies ist eine Laienbeschreibung von mir):
Anscheinend ist die Website collaborativerockers.de einem Hacking-Skript der Art C99-Shell (nagelt mich nicht auf einzelne Begrifflichkeiten fest) „zum Opfer gefallen“. Dabei wurde anscheinend durch eine Sicherheitslücke im Mobile Detector Plugin für WordPress ein mit schadhaftem PHP-Code manipuliertes GIF auf den Server geladen (timthumb Avatar-Funktion von Mobile Detector?), was wiederum Vollzugriff auf alle Dateien unter collaborativerockers.de erlaubte – hier findet man den extrahierten Quellcode des schadhaften GIF’s. Durch das dadurch ermöglichte Hochladen einer mit Schadcode manipulierten PHP-Datei auf den Server in das Standard-Upload-Verzeichnis wp-content/uploads/ (das viele selbstgehostete WordPress-Installationen nutzen), erlaubte die Shell-Datei den Vollzugriff (geänderte Rechte) und die Manipulation der .htaccess. Diese modifizierte .htaccess-Datei beinhaltete dann eine Auflistung von Referern, von denen der User auf einen Link zu collaborativerockers.de klickte, aber auf die russische Domain umgeleitet wurde. Unter diesen Referern waren u.a. Facebook, Google, Bing, Ask etc. gelistet und wer z.B. bei Facebook auf den Link geklickt hat, wurde instantan nach .ru umgeleitet. Zudem wurde diese Umleitung als permanent in ein Cookie geschrieben (301 redirect), sodass alle folgenden Zugriffe direkt auf der russischen Domain landete, solange die schadhaften Dateien auf dem Server und die Cookies beim Besucher lagen und diese gecleared wurden.
UNSERE REAKTION
Wir haben mittlerweile die schadhaften PHP-Dateien entfernt, die .htaccess wieder von den Eingriffen bereinigt, das Plugin Mobile Detector entfernt, alle Passwörter geändert und die WordPress-Installation auf die aktuelle Version 3.3.1 aktualisiert und für’s erste ein Standardtheme eingestellt. Bis auf weiteres werden wir dabei bleiben und uns dann sukzessive um die Umsetzung eines neuen (und ohnehin schon lang geplanten) Designs kümmern!
HINWEIS FÜR EUCH BESUCHER
Wir würden Euch empfehlen die für die collaborativerockers.de angelegten Cookies zu löschen, damit die darin festgeschriebenen Redirects entfernt werden. Dann sollte die Seite wieder funktionieren. Wie wir leider feststellen mussten, beinhaltete die russische Domain auf die der Redirect zeigte wohl Malware (Trojaner), der sich eventuell im Hintergrund auf dem System installieren konnte. Hier ist unser Wissen noch sehr begrenzt, daher lässt sich zum jetzigen Zeitpunkt schlecht sagen, was diese Schadsoftware genau tut. Eventuell beeinträchtigt sie aber das installierte Antivirenprogramm (eventuell erkennbar durch einen Prozess av1), das können wir aber noch nicht in Gänze beurteilen und melden uns, sobald wir etwas Genaueres wissen. Es schadet jedoch sicher nicht – wenn man auf der russischen Domain gelandet ist – auch einmal ein frisches Antivirenprogramm über das eigene System laufen zu lassen!
REICHWEITE UND ERKENNUNG
Aus unserer, nach dem derzeitigen Stand, vorsichtigen Einschätzung könnte der heute aufgetretene Exploit kein Einzelfall sein und selbstgehostete WordPress-Installation (evtl. ältere Versionen der Software), die mit dem Mobile Detector Plugin arbeiten, betreffen. Es gibt wohl auch ein CVE in diese Richtung. Wenn Euch etwas verdächtig vorkommt, dann schaut einmal nach diesen Anzeichen:
- unnatürlich große .htaccess (in meinem Fall war sie ca. 2700Byte groß anstelle von 260Byte)
- PHP-Dateien im Upload-Ordner wp-content/uploads/
Es tut uns sehr leid, dass dieser Fehler bei uns aufgetreten ist, eine ernstgemeinte Entschuldigung geht vor allem an alle Besucher dieses Blogs, die eventuell durch diesen Fehler beeinträchtigt wurden! Wir arbeiten daran noch mehr Erkenntnis zu gewinnen, diese anständig zu dokumentieren und dann hier zur Verfügung zu stellen sowie die entsprechenden Personen/Programmierer zu informieren.
Ein herzliches Danke von uns geht an André, Markus, Peter (Bootschaft) und Andi (meinem Hoster) sowie alle stillen Helfer im Hintergrund, ohne die wir heute wirklich aufgeschmissen gewesen wären!
Wenn Euch noch etwas auffällt, wir etwas übersehen haben, sich weiterhin komische Fehler abbilden, oder irgendein wie auch immer geartetes Problem auftritt, zögert bitte nicht uns zu hier in dem Kommentaren, via Twitter oder via Mail kontakt [ät] collaborativerockers [punkt] de zu kontaktieren!
Cheers, Eurer crM
Wir haben die anderen WordPress-Installationen wie diese hier, die Transienten Sichten und die Scientists-in-Progress kontrolliert, hier sollte alles in Ordnung sein. Sollte Euch dennoch irgendeine Unregelmäßigkeit auffallen, dann lasst es mich bitte wissen – Ihr erreicht mich hier in den Kommentaren, via Twitter oder via Mail fromm [ät] mfromm.de [punkt] de. Danke!
Update (16.02.2012, 15:15 Uhr): Unser Admin des Vertrauens hat mittlerweile einen eigenen Blogpost geschrieben und das Geschehen aus seiner Sicht, und sicher technisch versierter als ich, beschrieben.